Le minacce informatiche stanno attraversando una fase di profonda trasformazione, sospinte dall’evoluzione tecnologica, dall’instabilità geopolitica e dalla crescente sofisticazione degli attaccanti. Non si tratta più solo di virus o attacchi opportunistici ma di vere e proprie campagne mirate, condotte da gruppi criminali strutturati o attori statali. In questo scenario emergono modelli come il ransomware-as-a-service, tecniche fileless difficili da rilevare, deepfake usati per truffe sofisticate e nuovi rischi lungo le catene di fornitura.
Mentre le normative europee come NIS2, DORA e AI Act impongono requisiti più stringenti, si affacciano all’orizzonte sfide ancora più complesse, come la crittografia post-quantistica e la difesa autonoma guidata da intelligenze artificiali.
Indice degli argomenti:
Minacce informatiche: un panorama sempre più sofisticato e imprevedibile
Negli ultimi anni, le minacce informatiche sono diventate più complesse e difficili da individuare. L’intelligenza artificiale, l’uso di tecniche di offuscamento e la combinazione di strumenti legittimi con codice malevolo rendono gli attacchi non solo più efficaci, ma anche più difficili da attribuire. I cybercriminali agiscono sempre più come startup: testano, iterano e scalano modelli di attacco che si adattano alle contromisure difensive.
Inoltre, la crescita dell’ecosistema digitale, cloud, dispositivi IoT, reti 5G, infrastrutture critiche digitalizzate, ha ampliato la superficie d’attacco, esponendo nuovi punti deboli spesso trascurati. I tempi di reazione si accorciano, mentre gli strumenti di difesa faticano a tenere il passo.
Dalla criminalità organizzata agli attori statali: le nuove motivazioni
Se un tempo la maggior parte degli attacchi era motivata dal profitto immediato, oggi le finalità si diversificano. Alla criminalità informatica “tradizionale” si affiancano attori statali e gruppi sponsorizzati da governi, che perseguono obiettivi geopolitici, di spionaggio industriale, sabotaggio o disinformazione. La cyberwarfare è diventata una dimensione reale e permanente del conflitto tra potenze, e spesso si manifesta anche attraverso attacchi a infrastrutture civili, media, settori industriali strategici. Il confine tra crimine e guerra è sempre più sfumato: alcuni gruppi criminali operano con l’implicita tolleranza, se non la collaborazione, di governi ostili, creando un’area grigia difficile da contrastare con i soli strumenti del diritto penale.
Le minacce informatiche emergenti nel nuovo panorama della cybersecurity
Con la crescente digitalizzazione di processi, infrastrutture e comunicazioni, il terreno su cui si muovono le minacce informatiche è diventato più ampio, mutevole e difficile da presidiare. Le forme tradizionali di attacco, virus, phishing, exploit isolati, sono ormai affiancate da minacce complesse, distribuite e in grado di eludere gran parte dei sistemi di difesa tradizionali. Comprendere la natura tecnica e il modello operativo di queste minacce è fondamentale per potenziare le capacità di prevenzione e risposta.
Ransomware-as-a-Service: un modello criminale scalabile
Il ransomware rappresenta da anni una delle principali minacce a livello globale, ma è la sua evoluzione a modello “as-a-Service” che segna un cambio di paradigma. Con il termine Ransomware-as-a-Service (RaaS) si intende un modello in cui i creatori di ransomware sviluppano, gestiscono e aggiornano il codice malevolo, rendendolo disponibile a “partner affiliati” che lo utilizzano per colpire i bersagli finali. Il guadagno viene poi condiviso secondo percentuali definite contrattualmente, spesso all’interno di forum clandestini o piattaforme criminali nel dark web.
Questa frammentazione del lavoro criminale ha democratizzato l’accesso al ransomware, abbassando drasticamente la barriera tecnica all’ingresso e ampliando il numero di attori coinvolti. Tra i casi più emblematici rientra Conti, un gruppo che operava con un’organizzazione simile a quella di una software house, con sviluppatori, team di supporto e persino help desk per le vittime.
Anche REvil, un altro gruppo noto, offriva dashboard per la gestione delle campagne di attacco e strumenti automatizzati di negoziazione del riscatto.
Le varianti si moltiplicano e si rafforzano, oltre alla cifratura dei file, vengono attuate forme di double extortion (minaccia di pubblicazione dei dati esfiltrati) e triple extortion, che coinvolge terze parti o interrompe servizi essenziali per esercitare ulteriore pressione. L’uso di criptovalute e mixer rende quasi impossibile il tracciamento dei pagamenti da parte delle autorità, alimentando un mercato sommerso in continua espansione.
Malware polimorfi: mutazione continua per sfuggire al rilevamento
Un’altra evoluzione tecnica riguarda i malware polimorfi, definiti così per la loro capacità di modificare automaticamente il proprio codice a ogni esecuzione, pur mantenendo la medesima funzione malevola. Questo comportamento rende inefficaci i software antivirus basati su signature detection, cioè sul riconoscimento di stringhe di codice predefinite, perché ogni istanza del malware appare diversa. Questi malware si basano su tecniche di crittografia del codice, inserimento di istruzioni non operative (NOP) e offuscamento dinamico, che ne rendono difficile l’analisi statica.
Esempi concreti includono Storm Worm, noto per la sua capacità di rigenerarsi automaticamente nel 2007 o più recentemente le varianti polimorfe del malware Emotet, che hanno messo in crisi per anni anche le difese di grandi aziende e istituzioni pubbliche.
Nel 2021, grazie a una operazione internazionale congiunta di law enforcement sotto l’egida di Europol ed Eurojust, l’infrastruttura su cui era basata la botnet Emotet è stata smantellata, ponendo fine ad una delle più longeve attività di cybercrime. La persistenza e la distribuzione via email, macro di documenti Office o link compromessi sono tratti distintivi di queste minacce, che spesso fungono da “precursori” per attacchi più complessi come l’infiltrazione di ransomware o lo spionaggio industriale.
Negli ultimi anni, i malware polimorfi hanno conosciuto una nuova fase di sviluppo, grazie all’adozione di tecniche sempre più sofisticate di offuscamento, crittografia dinamica e mutazione automatica del codice. Tra questi, QakBot (o QBot) si è distinto per la capacità di eludere i sistemi di difesa modificando struttura e canali di comunicazione, prima di essere smantellato nell’operazione Duck Hunt del 2023. IcedID, ancora attivo, ha introdotto moduli fileless e persistence avanzata, diventando uno dei malware più usati come loader per campagne ransomware. Infine, FormBook e la sua evoluzione XLoader si sono affermati nel panorama del Malware-as-a-Service, sfruttando il polimorfismo per colpire aziende e privati tramite phishing mirato.
Attacchi fileless, l’invisibilità come strategia
Ancora più elusivi sono gli attacchi fileless, che non prevedono l’installazione di un file eseguibile sul disco del computer. Questi attacchi si basano sull’uso di componenti già presenti nel sistema operativo, come PowerShell, Windows Management Instrumentation (WMI) o script di automazione legittimi. L’obiettivo è sfruttare strumenti di amministrazione per eseguire comandi dannosi direttamente nella memoria RAM, aggirando così i sistemi di rilevamento basati su file. Un attacco fileless tipico può, ad esempio, sfruttare una vulnerabilità del browser per iniettare codice malevolo in memoria e utilizzare PowerShell per scaricare payload remoti, tutto senza scrivere nulla su disco.
È il caso della campagna APT “Cobalt Strike”, che ha usato tool di penetration testing in modo malevolo per distribuire backdoor completamente fileless. Anche Microsoft ha segnalato un aumento consistente di attacchi che sfruttano script PowerShell modificati, spesso camuffati in flussi di lavoro aziendali apparentemente innocui.
Verso una nuova generazione di minacce informatiche adattive
L’elemento comune a queste tecniche è l’elevata adattabilità. Sempre più spesso, gli attacchi informatici sfruttano intelligenza artificiale e machine learning per scegliere il momento migliore per colpire, eludere i controlli in tempo reale e modificare il proprio comportamento in base all’ambiente operativo. Questo include, ad esempio, la capacità di disattivare antivirus specifici, evitare ambienti sandbox o eseguire azioni solo se rilevata una connessione aziendale attiva. Di fronte a minacce sempre più adattive, invisibili e persistenti, non è più sufficiente affidarsi a strumenti tradizionali basati su firme o regole statiche. È necessario adottare un approccio multilivello, fondato su tre pilastri operativi:
- Analisi comportamentale (behavioral analytics)
Invece di cercare codice malevolo noto, l’analisi comportamentale osserva il modo in cui utenti, dispositivi e applicazioni interagiscono nel tempo. L’obiettivo è identificare anomalie rispetto ai comportamenti abituali (es. un dipendente che accede a dati sensibili in orari insoliti o da location inattese). Questo consente di rilevare attacchi zero-day o minacce interne (insider threats) che non lasciano tracce convenzionali. - Rilevamento in tempo reale (real-time detection)
In uno scenario in cui gli attacchi si sviluppano in pochi minuti – o addirittura secondi – è fondamentale rilevare e bloccare comportamenti sospetti nel momento in cui avvengono, prima che causino danni irreversibili. Questo richiede motori di analisi capaci di processare grandi quantità di log e segnali in streaming, spesso potenziati da AI e machine learning. - Segmentazione dinamica della rete (dynamic segmentation)
In una rete moderna, dove coesistono ambienti cloud, dispositivi IoT e endpoint mobili, serve isolare automaticamente porzioni di rete in risposta a comportamenti anomali. Ad esempio, se un dispositivo mostra segni di compromissione, la segmentazione dinamica può bloccarne le comunicazioni con il resto dell’infrastruttura, limitando la propagazione dell’attacco.
A supporto di questo approccio, diventano centrali due tecnologie chiave:
- XDR (Extended Detection and Response): una piattaforma unificata che raccoglie, correla e analizza segnali da endpoint, reti, email, cloud e identità digitali. A differenza dei sistemi EDR tradizionali, XDR consente una visione integrata e contestuale delle minacce, facilitando la risposta automatizzata o guidata.
- Threat Intelligence evoluta: non più solo raccolta passiva di indicatori di compromissione (IoC), ma sistemi capaci di contestualizzare le minacce, apprendere dai tentativi passati e anticipare modelli futuri di attacco, grazie a fonti interne (telemetria aziendale) ed esterne (feed globali, dark web monitoring, honeypot).
In sintesi, si passa da una logica difensiva reattiva a un modello proattivo e adattivo, dove ogni evento è analizzato in chiave predittiva e la sicurezza è pensata come funzione distribuita e intelligente, capace di apprendere e rispondere con la stessa rapidità degli attaccanti.
Attacchi alla supply chain e deepfake per l’ingegneria sociale
Tra le minacce emergenti più subdole si collocano gli attacchi alla supply chain digitale, sempre più complessa e interconnessa. Gli attori malevoli sfruttano fornitori terzi, spesso con standard di sicurezza inferiori, per infiltrarsi nei sistemi dell’azienda target Negli ultimi cinque anni, gli attacchi alla supply chain sono diventati uno dei vettori più insidiosi e ricorrenti del cybercrime avanzato, colpendo migliaia di organizzazioni a valle attraverso la compromissione di fornitori software, infrastrutture IT e piattaforme di file transfer.
Già nel 2020, il caso SolarWinds ha segnato uno spartiacque: un gruppo APT sponsorizzato dallo Stato russo ha inserito un backdoor nel software di monitoraggio Orion, distribuito a oltre 18.000 clienti, tra cui enti governativi e grandi aziende. Nel 2021, l’attacco a Kaseya da parte del gruppo REvil ha sfruttato una vulnerabilità nella piattaforma VSA per diffondere ransomware a cascata tramite oltre 60 Managed Service Provider (MSP), colpendo indirettamente circa 1.500 aziende nel mondo. Più recentemente, nel 2023, l’exploit zero-day contro MOVEit Transfer, condotto dal gruppo Cl0p, ha permesso l’esfiltrazione di dati da oltre 2.700 organizzazioni in tutto il mondo, tra cui British Airways, BBC e Siemens, in uno degli attacchi di data breach più estesi mai registrati.
Il trend è proseguito nel 2025 con nuovi episodi ad alto impatto. Nell’aprile 2025, Marks & Spencer ha subito un attacco ransomware attribuito al gruppo DragonForce, partito da un fornitore IT terzo compromesso, che ha causato un blocco operativo prolungato e danni economici stimati in oltre 300 milioni di sterline. A giugno, United Natural Foods Inc. (UNFI) ha annunciato un grave incidente informatico ai danni dei propri sistemi di supply chain e fulfillment, con un impatto finanziario diretto di circa 292 milioni di dollari e un crollo del 17% del valore azionario.
Nello stesso periodo, il fornitore finanziario Chain IQ, ex controllata di UBS, è stato violato dal gruppo World Leaks, con la conseguente esposizione di dati sensibili appartenenti a oltre 130.000 dipendenti di UBS, successivamente pubblicati nel dark web. Parallelamente si diffondono le tecniche di ingegneria sociale aumentata dall’intelligenza artificiale, tra cui spiccano i deepfake vocali e video. Queste simulazioni realistiche, capaci di imitare con precisione la voce o il volto di CEO, manager o autorità pubbliche, vengono utilizzate per truffe mirate (come il Business Email Compromise evoluto in Business Identity Compromise), per destabilizzare la reputazione aziendale o manipolare mercati finanziari.
Come prepararsi: dall’approccio Zero Trust alla detection basata su AI
In uno scenario in cui non esiste più un perimetro di sicurezza definito, l’approccio “Zero Trust” si sta affermando come standard di riferimento. Nessun utente, dispositivo o applicazione viene considerato affidabile per impostazione predefinita. L’autenticazione continua, il principio del minimo privilegio e la segmentazione delle reti sono elementi chiave per contenere le minacce. In parallelo, la threat detection basata su intelligenza artificiale e machine learning consente di rilevare comportamenti anomali e pattern di attacco in tempo reale. Le soluzioni SIEM (Security Information and Event Management) e XDR (Extended Detection and Response) potenziate dall’AI stanno diventando strumenti indispensabili per le Security Operation Center (SOC).
Tuttavia, questi strumenti richiedono dati di qualità, competenze avanzate e una governance attenta per non generare alert inutili o falsi positivi. Infine, nessuna tecnologia può sostituire l’importanza della cyber awareness: la formazione continua del personale, anche con simulazioni di attacco e programmi di gamification, resta un pilastro essenziale nella riduzione del rischio.
Il ruolo della normativa: NIS2, DORA e AI Act
A livello normativo, l’Unione Europea ha rafforzato negli ultimi anni il quadro di riferimento per la sicurezza digitale.
La Direttiva NIS2, in vigore dal 2023 e applicabile dal 2024, amplia il numero di settori e aziende soggette a obblighi stringenti di cybersecurity, estendendo la responsabilità anche al top management.
Il Regolamento DORA (Digital Operational Resilience Act), invece, riguarda in modo specifico il settore finanziario, imponendo requisiti uniformi per la resilienza operativa e test obbligatori sulla sicurezza digitale. Entrambi i provvedimenti introducono elementi di accountability, tracciabilità e obbligo di notifica che le aziende devono recepire con prontezza.
Infine, l’AI Act, in fase avanzata di attuazione, pur non essendo centrato sulla sicurezza informatica in senso stretto, impone requisiti di robustezza, trasparenza e auditabilità ai sistemi di intelligenza artificiale ad alto rischio, alcuni dei quali saranno direttamente coinvolti in attività di sicurezza, monitoraggio e difesa. La convergenza tra AI governance e cybersecurity sarà uno dei fronti regolatori più critici del prossimo triennio.
Scenari futuri: tra quantum computing e sistemi di difesa autonomi
Guardando avanti, l’evoluzione delle minacce informatiche non può prescindere da due direttrici strategiche. La prima è rappresentata dal quantum computing, che nel medio termine potrebbe compromettere gli attuali sistemi crittografici. Se oggi è ancora un’ipotesi sperimentale, la cosiddetta “quantum advantage” potrebbe rendere obsoleti protocolli di sicurezza considerati sicuri, imponendo l’adozione della post-quantum cryptography, già oggetto di standardizzazione da parte del NIST.
La seconda direttrice riguarda lo sviluppo di sistemi di difesa autonomi, capaci di rispondere in tempo reale alle minacce senza intervento umano diretto. Questi sistemi, potenziati da AI generativa e agenti intelligenti, promettono una protezione proattiva, ma pongono anche interrogativi etici e di responsabilità legale in caso di azioni scorrette o impreviste. Lo scenario che ci attende è ibrido: tra cybercrime-as-a-service e difese autonome, tra attacchi invisibili e regolamenti complessi. La sfida sarà trovare un equilibrio tra innovazione tecnologica, resilienza operativa e responsabilità collettiva.
